Ce didacticiel traite de l’importance de la sécurité de WordPress et du danger immédiat entourant la pratique de l’utilisation du compte d’utilisateur « admin ». Nous avons écrit un didacticiel décrivant comment modifier le nom d’utilisateur administrateur par défaut dans WordPress. Si vous êtes familier avec les dangers susmentionnés, je vous suggère de passer à la partie tutoriel. D’autres peuvent continuer à lire.
La sécurité de WordPress n’est pas une chose anodine. En fait, étant donné le grand nombre d’attaques directes par force brute sur les millions de sites Web propulsés par WordPress, on pourrait penser que les webmasters consacrent 30 à 50 % de leur attention à la sécurité du site. Étonnamment, ce n’est pas le cas. La vérité est que la sécurité de WordPress se trouve tout en bas (si elle est présente) dans la liste des tâches d’un site Web. C’est l’un des facteurs les plus sapés dans la liste des préoccupations d’un webmaster novice. Dans la plupart des cas, l’une des deux choses suivantes se produit :
- Le webmaster estime que le site n’est pas important et n’est donc pas une cible potentielle pour les pirates
- Il oublie simplement l’aspect sécurité
Quelle que soit la situation, vous serez dans une vraie impasse lorsque votre site sera piraté. Nous croyons fermement qu’il vaut mieux prévenir que guérir – c’est pourquoi nous utilisons l’hébergement WordPress géré de WPEngine. Il est solide comme un roc et est doté d’une sécurité pare-balles. Notre site n’a pas encore été piraté. Allez-y, nous vous défions! 😀 Dans l’effort de poursuivre notre rituel « prévenir plutôt que guérir », parlons du compte administrateur (ou administrateur) WordPress et apprenons à boucher cette faille de sécurité une fois pour toutes.
Qu’est-ce que le compte administrateur WordPress ?
Mieux connu sous le nom de compte administrateur, c’est le nom de compte par défaut qui apparaît dans chaque nouvelle installation de WordPress. Son rôle d’utilisateur est administrateur, ce qui signifie qu’il détient le pouvoir d’accès le plus élevé sur chaque site WordPress. Il peut injecter du code malveillant, voler des données sensibles et, dans le pire des cas, supprimer complètement votre site. En un mot, utiliser admin comme nom d’utilisateur pour un compte avec des privilèges administratifs (c’est-à-dire le rôle d’utilisateur administrateur) est un énorme faille de sécurité.
Pourquoi? Content que vous vouliez savoir. Lorsqu’un hacker veut accéder à votre site WordPress, il doit déchiffrer 2 éléments :
- Nom d’utilisateur WordPress
- Mot de passe correspondant
Lorsque la plupart des sites WordPress utilisent « admin » comme nom d’utilisateur, le pirate informatique a 50 % de son travail à faire pour lui. Il pourrait simplement lancer l’attaque par force brute (qui n’est rien d’autre qu’essayer toutes les combinaisons de caractères possibles comme mot de passe) et s’asseoir et siroter son café, tandis que la grille informatique (massive) écrase des milliers de caractères par seconde et déstabilise votre serveur.
Voulez-vous maintenant entrer dans cette catégorie ? Je suis devinant à peu près certain que vous ne l’êtes pas. Alors n’utilisons jamais, jamais, admin comme nom d’utilisateur dans une installation WordPress à l’avenir. Mais qu’en est-il des personnes qui ont déjà leur compte WordPress avec admin comme nom d’utilisateur ?
Les noms d’utilisateur ne sont pas modifiables. C’est ce que nous savons (pour l’instant). Alors, que peut-on faire? Eh bien, pour commencer, vous pouvez utiliser un mot de passe super fort. Un assortiment de caractères alphanumériques, de casse mixte et de symboles spéciaux dans votre mot de passe d’une longueur d’environ 35 caractères devrait prendre un certain temps à déchiffrer. Cependant, si vous souhaitez traiter le hack boy au cours complet (c’est-à-dire qu’il doit interpréter à la fois le nom d’utilisateur et le mot de passe), vous devez alors changer complètement le nom d’utilisateur de l’administrateur.
Supprimer ou modifier le nom d’utilisateur de l’administrateur
Option 1 est de créer un tout nouveau compte administrateur avec un nom unique et un mot de passe fort, reconnectez-vous à votre installation WordPress avec le nouveau compte administrateur, puis supprimez votre ancien compte. Vous devriez être invité à réaffecter tous vos anciens messages à un autre utilisateur (par exemple, votre nouveau compte administrateur). Option 2 est de changer votre compte administrateur actuel en utilisant phpMyAdmin. Suivez le tutoriel ci-dessous pour voir comment.
Accéder à phpMyAdmin
phpMyAdmin est un logiciel d’interface graphique Web qui vous donne un accès interactif à la base de données de votre serveur. Certains pourraient l’appeler un éditeur frontal pour votre base de données. La plupart des hébergeurs mutualisés donnent accès à phpMyAdmin et sont disponibles dans cPanel. Une fois que vous y avez accès, sélectionnez votre base de données WordPress. Dans notre cas, c’est wpe-tut.
phpMyAdmin listera toutes les tables de cette base de données. Les tableaux présentés dans la capture d’écran suivante sont ceux par défaut dans une installation WordPress. Nous voulons sélectionner wp_users car il contient la valeur que nous voulons éditer.
Sélection du nom d’utilisateur correct
Vous devriez maintenant voir une capture d’écran comme celle-ci. Étudions-le attentivement.
- IDENTIFIANT: C’est la variable comptable. Il est utilisé pour identifier séquentiellement tous les utilisateurs qui se sont inscrits dans une installation WordPress. Étant donné que admin est le premier utilisateur à être enregistré, son ID est 1. Dans ce didacticiel, nous n’avons utilisé aucun autre utilisateur.
- Utilisateur en ligne est le variable stocker le nom d’utilisateur réel de l’utilisateur.
- passe d’utilisateur contient le mot de passe correspondant, crypté en MD5.
- user_nicename est le nom complet de l’utilisateur
- user_email est la variable qui stocke l’adresse e-mail de cet utilisateur
- Afficher un nom est la façon dont le nom d’utilisateur est affiché dans les articles et les pages. Par exemple, les messages de certains utilisateurs sont affichés comme « Équipe éditoriale » au lieu de « Joe Smith »
- Les autres champs présents ne sont pas importants pour ce tutoriel.
Nous voulons changer le Utilisateur en ligne champ. En option, nous pourrions changer user_nicename et Afficher un nom. Pour ce faire, nous sélectionnons le Éditer option.
phpMyAdmin nous amènera aux champs individuels pour le administrateur entrée sous wp_users.
Nous changeons maintenant les valeurs en valeurs appropriées. J’ai changé le mien en Sourav et ses dérivés.
Une fois terminé, cliquez sur Aller pour valider les changements. Vous devriez obtenir un message comme celui-ci :
Maintenant, lorsque vous vérifiez le wp_users entrée, le administrateur le nom d’utilisateur ne sera plus présent. Vous trouverez la valeur que vous avez définie Utilisateur en ligne à, comme nouveau nom d’utilisateur. Cela termine la phase de travail de notre tutoriel. Testons-le. Nous nous connectons à WordPress en utilisant le nouveau nom d’utilisateur et l’ancien mot de passe.
Et boyah, ça marche !
WordPress reconnaît clairement le nouveau nom d’utilisateur. Toutes les données précédentes n’ont pas été entravées. N’oubliez pas que si vous utilisez un plugin de mise en cache, vous devez purger l’intégralité du cache, si vous avez beaucoup de messages soumis sous le nom d’utilisateur administrateur. Nous pouvons également consulter notre profil d’utilisateur sous Paramètres. Voici ce que nous devrions obtenir :
Conclusion
Changer le compte administrateur WordPress par défaut pour quelque chose d’autre renforce la sécurité de votre site WordPress. Il est considéré comme l’une des meilleures pratiques de sécurité pour tous les webmasters et/ou développeurs WordPress. Si vous avez utilisé le administrateur nom d’utilisateur, il est grand temps que vous le changiez.
Ce tutoriel est 100% WordPress intensif. J’ai expliqué les attributs de table de la base de données WordPress ainsi que leurs objectifs respectifs. Suivez simplement les captures d’écran et vous êtes prêt à partir. Si jamais vous êtes bloqué, le formulaire de commentaire est tout à vous. Vous pouvez également me pinger sur Twitter. À vous de jouer – connaissez-vous un autre moyen de changer le nom d’utilisateur administrateur de WordPress ? Vous avez une astuce de sécurité super cool ? Faites-nous savoir!